Supongamos que almaceno un salt value aleatorio para cada usuario. ¿Tengo que generar un nuevo valor de sal cuando se cambie la contraseña de ese usuario o utilizo el mismo valor para toda la vida de esa cuenta de usuario?¿Cambio el valor de sal cuando cambio una contraseña de usuario?
Respuesta
Debe cambiar la sal. La sal está diseñada para ser única (la mayor cantidad posible) para todas las instancias de contraseña.
Si utiliza la misma sal para la contraseña antigua y la nueva, un atacante que vea la antigua contraseña hash y la nueva contraseña de hash puede atacar a ambos por un costo que es menos del doble del costo de atacar a uno. Este es exactamente el tipo de cosas que la sal fue diseñada para evitar (y la sal no tiene otro uso que eso).
Por supuesto, la antigua contraseña, siendo de edad, ya no es una forma válida para entrar su sistema, pero ya que los usuarios tienden a reutilizar las contraseñas, la contraseña antigua aún puede ser útil (desde el punto de vista atacante) . En particular, el usuario puede reutilizar esa contraseña anterior cuando vuelva a cambiar su contraseña (esto es lo que hacen la mayoría de los usuarios cuando se enfrentan a un sistema que requiere un cambio de contraseña regular: alternan entre dos contraseñas).
Si la contraseña no era débil (y el atacante no conoce la sal), usar un valor de sal diferente no mejorará la seguridad de su contraseña si se cambia la contraseña, por lo que puede mantener la misma.
El propósito del valor de sal es asegurar que diferentes usuarios con la misma contraseña no tengan el mismo hash de contraseña.
De todos modos, supongamos que un atacante ha descifrado previamente la contraseña del usuario y conoce el valor de sal. Si cambia solo la contraseña, el atacante podría hacer menos cálculos para volver a romperla, porque ya conoce la sal.
Así que tal vez sea una buena idea cambiar la sal al establecer una nueva contraseña.
- 1. git-svn cambio de contraseña
- 2. Cambio de usuario en python
- 3. Apache htpasswd cambio de contraseña segura
- 4. Cómo sal y hash un valor de contraseña usando C#?
- 5. API de membresía de ASP.NET forzar el cambio de contraseña
- 6. Valor de cambio de SQL
- 7. JSpinner Cambio de valor Eventos
- 8. Implementar cambio de contraseña en Symfony2
- 9. evento de cambio no se activa cuando el cambio proviene de otra función
- 10. sal contraseña óptima longitud
- 11. cambio de nombre de usuario ASP.NET
- 12. Parece una sal fuerte para una contraseña
- 13. ¿Cómo cambio el valor de un valor Settings.settings?
- 14. Escucha de cambio de valor en JTextField
- 15. ProtectedData.Unprotect (DPAPI) deja de funcionar después de cambio de contraseña
- 16. cómo almacenar la contraseña sal
- 17. ¿Cómo cambio mi contraseña en Linux?
- 18. ¿Cómo agregar sal en la contraseña del usuario?
- 19. La contraseña de cambio de membresía ASP.NET no funciona
- 20. Grafito: muestra el cambio del valor anterior
- 21. ¿Cómo cambio la animación predeterminada cuando cambio la actividad?
- 22. JQuery Ajax Solicitud: cambio de usuario-agente
- 23. jQuery valor de texto entrada de cambio
- 24. ¿Está bien guardar la sal del usuario en la misma tabla que el hash de contraseña?
- 25. jqGrid - deshabilitar el cambio de tamaño de columna de usuario
- 26. Cómo cambio la salida de mysql según el valor
- 27. Esquema: valor de cambio de un elemento en una lista
- 28. Cambio del valor de un NSNumber
- 29. ¿Por qué el evento de cambio de jquery no se activa cuando establezco el valor de una selección usando val()?
- 30. Cómo crear un evento en el cambio de propiedad y cambio de eventos en C#
* up * Es posible que desee cambiar la contraseña salt y actualizar el registro del usuario –